La importancia de protegerse contra las amenazas de seguridad cibernética que emanan de los proveedores y socios de su organización, así como contra las amenazas a su propio estado de TI, una vez más se ha destacado de manera dolorosa, esta vez por divulgación de la Universidad de York que una cantidad no confirmada de datos fue robada de un servicio en la nube de terceros en un ataque de ransomware en mayo.
La brecha fue primero descubierto en Blackbaud, un proveedor con sede en EE. UU. de servicios de gestión de relaciones con el cliente (CRM) en la nube para proveedores de educación superior, organizaciones de atención médica y organizaciones sin fines de lucro, de las cuales York es cliente. Blackbaud dijo que «evitó con éxito» que los ciberdelincuentes bloquearan el acceso a su sistema y encriptaran por completo sus archivos, y que pudo expulsarlos.
En una declaración que incluía los tópicos familiares sobre tomar la seguridad de los datos «en serio», Blackbaud, por su propia admisión, dijo que no solo pagó la demanda de rescate, sino que tomó la palabra de los delincuentes de que habían destruido los datos al pie de la letra y se fue. para revelar que los ciberdelincuentes habían eliminado una copia de un subconjunto de datos de su entorno autohospedado.
Luego esperó unos dos meses para informar a York, que utiliza los servicios de Blackbaud para «registrar el compromiso con los miembros de la comunidad universitaria, incluidos ex alumnos, personal y estudiantes, y redes y simpatizantes extendidos».
Aunque los datos robados no contienen datos cifrados, contraseñas o detalles financieros, podrían incluir información personal básica, números de estudiantes, direcciones y detalles de contacto, detalles del curso, registros de compromiso con la recaudación de fondos de la universidad u otras actividades, y detalles profesionales, todos los cuales son altamente valioso en un ataque de phishing dirigido.
En su declaración, York dijo que había aceptado las garantías de Blackbaud de que los datos habían sido destruidos mediante el pago del rescate, pero que, sin embargo, advierte a su comunidad que permanezca vigilante y notificó a la Oficina del Comisionado de Información (ICO).
«No hay necesidad de que nuestra comunidad tome medidas en este momento», dijo. “Como práctica recomendada, recomendamos que las personas permanezcan vigilantes y denuncien de inmediato cualquier actividad sospechosa o robo de identidad a las autoridades policiales correspondientes.
“Continuaremos trabajando con Blackbaud para investigar este asunto, y seguiremos recibiendo consejos de nuestro oficial de protección de datos y equipo de seguridad de TI. Lamentamos mucho las molestias que esta violación de datos por parte de Blackbaud puede haber causado «.
Los peligros de la confianza
Dejando a un lado si Blackbaud era o no derecho a pagar el rescate – prácticamente todas las autoridades dicen que no, pero uno debe aceptar que esta es una decisión que depende de la víctima; la respuesta a esto plantea preguntas fundamentales sobre la confianza en la seguridad cibernética.
En este caso, uno debe considerar la aparente confianza de Blackbaud y York en los delincuentes cibernéticos maliciosos, lo cual es desaconsejado, y la confianza de York en la capacidad de Blackbaud de comportarse con responsabilidad y responsabilidad, que es una expectativa bastante más razonable.
Paul Bischoff, defensor de la privacidad en Comparitech, dijo: «No hay garantía de que los delincuentes que robaron los datos siguieron y los destruyeron. El personal y los estudiantes de la Universidad de York deberían estar atentos a intentos de phishing específicos «.
Punto de fuerza El analista principal de seguridad Carl Leonard dijo: «El hecho de que se pagó un rescate hace que esta situación sea especialmente preocupante: ninguna organización debería verse obligada a manejar el dinero a los ciberdelincuentes, y muestra que la universidad y sus socios tienen mucho que mejorar en cómo almacenan, gestionan y protegen sus datos confidenciales «.
Javvad Malik, defensor de la conciencia de seguridad en KnowBe4, dijo Blackbaud también necesitaba aclarar por qué había tardado tanto en informar a York. «Si bien es bueno y requiere que la universidad haya informado a las personas afectadas, el hecho de que las personas no fueron informadas hasta casi dos meses después de la violación inicial es preocupante», dijo. «Ofrece a los delincuentes una gran oportunidad para monetizar la información robada».
Paul Edon, director senior de servicios técnicos para Europa, Medio Oriente y África (EMEA) en Tripwire, dijo que York no era incorrecto al haber confiado en un tercero para que se ocupara de sus datos, pero dados los hechos del hackeo y la respuesta tardía, estaba claro que había una desconexión entre las dos organizaciones.
«Muchas universidades emplean a terceros para ayudar a administrar y asegurar sus sistemas», dijo. “Es imperativo que estos terceros estén alineados con la universidad en sus objetivos de seguridad y sean auditados regularmente para garantizar que cumplan con los acuerdos de nivel de servicio. Cualquier desalineación o incumplimiento de los niveles de servicio acordados puede dar lugar a graves lagunas en la seguridad general de la institución «.
Camino de York hacia adelante
Edon dijo que si bien la adopción de nuevos sistemas de seguridad también podría ayudar a York a proteger sus activos, realmente necesitaba concentrarse ahora en una «base sólida de seguridad cibernética» para minimizar el riesgo futuro, prestando especial atención no solo a los fundamentos de la tecnología, como antivirus, identidad y gestión de acceso, pero, más pertinente en este caso, para educar y capacitar a su personal y estudiantes para detectar y mitigar las amenazas por su cuenta.
Leonard de Forcepoint dijo: “El enfoque tradicional de seguridad basado en reglas es demasiado reactivo y lento para responder a amenazas como el ransomware. Los actores maliciosos están constantemente buscando vulnerabilidades y formas en las redes, y solo se necesita una oportunidad para darles una entrada.
“Se necesita un cambio de paradigma en la seguridad hacia el comportamiento del usuario, en lugar de las amenazas mismas. Es solo al hacer esto que la señal se puede separar de la gran cantidad de ruido «.
Webroot El analista senior de investigación de amenazas Kelvin Murray dijo que las universidades eran objetivos particularmente tentadores para los piratas informáticos, y la naturaleza en expansión de tales instituciones, con múltiples facultades e instalaciones, hace que la administración de TI y la seguridad sean un desafío particular. Luego está la cuestión de los datos de investigación valiosos que deben protegerse, particularmente de los actores de amenazas respaldados por el estado.
«Un problema complicado es que los datos valiosos se encuentran en las computadoras portátiles / computadoras de escritorio de los estudiantes individuales, así como en los servidores universitarios, y el monitoreo del acceso y el beneficio masivo de las credenciales robadas plantean dificultades reales para los departamentos de TI», dijo Murray. “Un entorno altamente atado no coincide con la cultura de intercambio de conocimientos de las universidades.
“Para mitigar futuros ataques, los equipos de TI deben auditar adecuadamente todas las máquinas conectadas a sus redes y los datos que poseen. La capacitación de concientización sobre seguridad debe implementarse para el personal y los estudiantes desde el primer día, asegurando que estén atentos al escrutinio de los tipos de correos electrónicos que reciben «.